Condivisione della tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Presa WebTraffico crittografato del tunnel proxy del protocollointroduzione

Negli scenari di attacco e difesa, il protocollo Websocket viene spesso utilizzato per creare tunnel proxy. Gli aggressori tentano di utilizzare il protocollo Websocket per aggirare le restrizioni di rete e creare un tunnel di trasmissione dati in tempo reale bidirezionale a bassa latenza.Attualmente, gli strumenti principali che supportano gli agenti di comunicazione Websocket includono: FRP, wsp, wstunnel, TurboTunnel, ecc.

Prendiamo come esempio lo strumento wstunnel. Quando wstunnel utilizza il protocollo Websocket per creare un tunnel per il traffico correlato al proxy, il client utilizza il meccanismo di aggiornamento HTTP per completare la fase di handshake del protocollo. Una volta completato l'handshake, il client e il server utilizzano il formato dati del protocollo Websocket per la comunicazione full duplex. Sia il server che il client possono inviare attivamente messaggi senza attendere che l'altra parte invii prima i messaggi. Wstunnel può creare un tunnel Websocket ad alte prestazioni e a bassa latenza in questo modo.

Presa Web Una volta completato l'handshake, i dati vengono trasmessi in unità di frame di dati. Il traffico del tunnel Websocket di wstunnel è mostrato nella figura seguente:

Presa WebCrittografia MASCHERA

C'è un flag nel protocollo Websocket: Mask, che viene utilizzato per indicare se la crittografia della maschera è abilitata sui dati. Quando questo bit è 1, indica che viene utilizzata la crittografia con maschera e gli ultimi 4 byte della lunghezza del payload rappresentano la chiave di decrittografia. La crittografia della maschera in Websocket utilizza l'OR esclusivo (xor) per la crittografia semplice. Quando il bit corrispondente del campo MASK è impostato su 1, significa crittografia. Successivamente verrà impostata una chiave di mascheramento a 4 byte a 0 significa no. Se è crittografato, la chiave di mascheramento non verrà trasportata. L'attuale standard Websocket prevede che il client debba utilizzare la crittografia con maschera per inviare i dati, mentre il server non utilizzi la crittografia con maschera per inviare i dati.

L'immagine seguente mostra il traffico di un altro strumento wsp dopo aver abilitato la crittografia MASK:

Websocket sicuro

Inoltre Websocket supporta gli attributi WSS, ovvero Websocket Secure, che viene trasmesso sotto forma di "wss://". Questa comunicazione incapsula i dati Websocket attraverso il protocollo di crittografia TLS, in modo che i dati visti sullo strato più esterno siano la comunicazione del protocollo TLS e i dati trasmessi siano più nascosti, come mostrato nella figura:

• Presa WebEsempio di traffico crittografato con lo strumento proxy del protocollo

Oltre a wstunnel e wsp, ci sono altri strumenti che supportano anche il tunneling Websocket:

1. FRP

1. Tunnel turbo

I quattro strumenti precedenti crittografano il payload come segue:

1. Crittografia client: FRP, wsp, TurboTunnel
2. Crittografia lato server: TurboTunnel
3. Client non crittografato: wstunnel
4. Il server non è crittografato: wstunnel, FRP, wsp

• Rilevamento del traffico crittografato con strumento proxy del protocollo Websocket

Quanto sopra introduce le caratteristiche del traffico di comunicazione Websocket di diversi strumenti comunemente utilizzati. Il sistema di rilevamento intelligente delle minacce crittografato Guanchengkanyun può rilevare efficacemente il traffico di questi strumenti utilizzando la comunicazione crittografata Websocket:

• Riassumere

In scenari come esercitazioni di attacco e difesa, i tunnel del protocollo Websocket hanno le caratteristiche di bassa latenza, prestazioni elevate bidirezionali in tempo reale e potenti funzioni di crittografia, che rendono facile evitare gli audit dei dispositivi di traffico, quindi questo tipo di strumento è gradualmente diventato popolare. Il team di sicurezza di Guancheng Technology ha studiato le caratteristiche strutturali del protocollo Websocket stesso e lo ha combinato con il traffico dello strumento corrispondente per proporre metodi di rilevamento efficaci e applicarli al prodotto. Può rilevare con precisione anomalie nel traffico Websocket e scoprire l'origine dei relativi tunnel. Costruisci e utilizza tracce per garantire la sicurezza delle reti dei clienti. Continueremo a monitorare e studiare questo tipo di strumenti per tunnel e a migliorare continuamente le capacità di rilevamento dei nostri prodotti.